Movimiento 14: ¿Cómo puedo configurar la división de túneles para SSL VPN?

Pubilicado 2019-1-25 14:03:38 43 0 0 0

Movimiento 14: ¿Cómo puedo configurar la división de túneles para SSL VPN?

VPN provee un servicio de extensión de red. Los usuarios pueden permitir que el servicio acceda a los recursos de intranet de la empresa. Sin embargo, algunos usuarios retroalimentan que después de haber habilitado el servicio de expansión de la red, no pueden acceder a Internet. ¿Cómo puede pasar esto? Antes de explicar la causa de este problema, el doctor WoW introduce un concepto, a saber, la división de túneles. ¿Qué es la división del túnel? La división de túneles es un escenario de aplicación de VPN. Con la función de división de túneles, los usuarios pueden acceder a Internet y a la LAN local al acceder a la intranet de la empresa remota a través de túneles VPN. Con este concepto en mente, usted sabe ahora que el problema ocurre en el escenario de división del túnel de SSL VPN. ¿SSL VPN soporta el escenario de división de túneles (si un tipo de VPN soporta la división de túneles depende de los productos)? Sí, lo hace. El problema se debe a una configuración incorrecta. Ejemplo La siguiente figura muestra el escenario de división del túnel SSL VPN. Los usuarios esperan acceder a diferentes recursos después de permitir la expansión de la red. ¿Cómo podemos configurar el servicio de expansión de red para cumplir con este requerimiento?              


                                040217u8x7j2bqk13tl8bx.png?image.png


El servicio de extensión de red de SSL VPN ofrece tres modos de enrutamiento: Modo manual, modo split y modo de ruta completa. Una vez habilitada la expansión de la red, el firewall empuja rutas hacia los usuarios de la rama según el modo de enrutamiento configurado. El modo de enrutamiento determina el alcance de los recursos a los que pueden acceder los usuarios. La siguiente tabla enumera las asignaciones de modos de enrutamiento y recursos accesibles: En el ejemplo siguiente, supongamos que la dirección IP obtenida por el usuario desde el firewall es 6.6.6.1/24 (dirección IP del adaptador de red virtual) y la dirección siguiente de la ruta es 192.168.1.2

Modo de enrutamiento

Comando

Ruta   generada en el lado del usuario

Servicios accesibles

Modo manual

Network-extension mode manualnetwork-extension manual-route   10.1.1.0 255.255.255.0When the manual mode is selected, the Intranet segment   to be accessed by the user must be specified.

Como se muestra en la Figura 1, la   información de ruta anterior muestra que sólo el tráfico al HQ va al   adaptador de red virtual 6.6.6.1 y entra en el túnel SSL VPN. Las rutas a   Internet y a la LAN permanecen sin cambios.

Los usuarios pueden acceder al   mismo tiempo a la LAN, Internet y la empresa Intranet.

Modo split

Dividir el modo de extensión de   red 

Como se muestra en la Figura 2, la   información de ruta anterior muestra que la dirección IP de la interfaz   saliente de la ruta predeterminada se cambia a la dirección IP del adaptador   de red virtual y los usuarios no pueden acceder a Internet. Como la ruta a la   LAN permanece inalterada, los usuarios todavía pueden acceder a la LAN.

Los usuarios sólo pueden acceder a   la Intranet de la LAN y la empresa, pero no pueden acceder a Internet.

Modo de ruta completa

Modo de extensión de red   completo 

Como se muestra en la Figura 3,   las direcciones IP de las interfaces salientes de casi todas las rutas se   modifican en la dirección IP del adaptador de red virtual, lo que significa   que todo el tráfico de los usuarios entra en el túnel SSL VPN. La ruta a   192.168.2.0 (local LAN) todavía existe en la tabla de enrutamiento. Como el   costo de esta ruta es de 11, pero el costo de la ruta entregada por el   firewall es 1. Por lo tanto, la ruta a 192.168.2.0 no entra en vigor.

Los usuarios sólo pueden acceder a   la Intranet de la empresa, pero no pueden acceder a la LAN e Internet.

El modo de división se utiliza por defecto, lo que lleva a la falla de acceso a Internet. Para resolver este problema, cambie el modo de enrutamiento al módem manual. Precauciones Como el servicio de extensión de red tiene una función de protección de rutas, no puede cambiar las rutas entregadas por el firewall. Incluso si usted ha hecho un cambio, el cambio no entra en vigor. Para cambiar una ruta en la tabla de enrutamiento de un PC, deshabilite la extensión de red y luego cambie la ruta.

 

 

 

 

 

Figura 1:

040253stqfpzftlthf7uzp.png?image.png

Figura 2:
040306ltzlsxtobs7epuux.png?image.png


Figura 3:

040318mcplc8s8jlknkx5x.png?image.png

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba